PE文件-NT头

最新推荐文章于 2024-10-01 07:59:08 发布

很酷很爱笑

最新推荐文章于 2024-10-01 07:59:08 发布

阅读量376

点赞数

分类专栏： PE文件文章标签：其他

本文链接：https://blog.youkuaiyun.com/weixin_45012273/article/details/121174319

版权

PE文件专栏收录该内容

7 篇文章

订阅专栏

DOS头和NT头之间

存储着一些被DOS头使用的数据,包括一些提示字符串等等...但是这块数据的长度不确定,所以DOS头的最后一个成员指向了新PE的位置

NT头格式

typedef struct _IMAGE_NT_HEADERS {
    DWORD Signature;     //标记 判断是否是PE文件的第二个标志 值为0x4550 PE00
    IMAGE_FILE_HEADER FileHeader;   // 文件头 
    IMAGE_OPTIONAL_HEADER32 OptionalHeader; //可选头
} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;

NT头文件中的格式

代码解析NT头

假设已经把PE文件读到内存中首地址是file_buff 是void*指针

   PIMAGE_DOS_HEADER dos_head = PIMAGE_DOS_HEADER(file_buff);
	PIMAGE_NT_HEADERS nt_head =
		PIMAGE_NT_HEADERS(dos_head->e_lfanew + (LONG)file_buff);

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

很酷很爱笑

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

PE文件学习--Nt头部

KOOKNUT的博客

03-24

521

当我们越过Dos Stub之后就来到了IMAGE_NT_HEADERS，这个结构在32位和64位下的大小是不一样的，这个结构体紧跟在Dos Stub之后，结构体看起来只有三个成员，接下来我们来一个一个细细解剖 typedef struct _IMAGE_NT_HEADERS64 { DWORD Signature; IMAGE_FILE_HEADER FileHeader; ...

PE结构-Nt头部

小喇叭儿滴滴的吹

02-11

501

首先，我们需要知道如何定位到Nt头部，这个在上篇博客中Dos头部的e_lfanew字段中，该字段可定位到Nt头部先来看一下这个32位的Nt结构 typedef struct _IMAGE_NT_HEADERS { DWORD Signature; //50 45 00 00 PE标志 IMAGE_FILE_HEADER FileHeader; //文件头 IMA...

参与评论您还未登录，请先登录后发表或查看评论

PE文件的基本结构-2 NT头

zhangxinrun的专栏

08-24

1294

1 PE文件头（NT文件头） 从DOS文件头的_lfanew字段（文件头偏移003ch）得到真正的PE文件头位置[$0000 0100]后，现在来看看它的定义，PE文件头是由IMAGE_NT_HEADERS结构定义的： PImageNtHeaders = ^TImageNtHeaders; _IMAGE_NT_HEADERS = packed record [$0100]Signature: DWORD; [$0104]FileH

PE文件结构 - NT头学习

bcbobo21cn的专栏

03-20

1038

PE文件基本结构如下；学习一下NT头； NT头，包含一个4字节的Signature，以及两个结构体IMAGE_FILE_HEADER（文件头）和IMAGE_OPTIONAL_HEADER（扩展头）。 NT头：Signature，文件头，扩展头；其定义如下；这个是微软定义的； typedef struct _IMAGE_NT_HEADERS { DWORD Signature; IMAGE_FILE_HEADER FileHeader; IMAGE_OPTIONAL_H...

PE文件结构——NT Headers

QXinHan的博客

05-18

633

它实际上是用来定为的，因为镜像文件存储的内存空间实际上是和实际空间不一样的，需要通过这个基址来给“头”和“节”进行重定位。它占据了四个字节，是一个固定的十六进制值为"0x50450000"，按照ASCII码编码，值为"PE\0\0"，这是一个标签，它的作用是告诉OS loader这是个PE文件。1.32位的可选择头，它一共有31个成员而64位的可选择头有30个成员。7.SizeOfHaeders：所有头的总大小（以字节计算），它的大小为FileAlignment的整数倍，向上取整（显然，上面那个也是）。

PE笔记之NT头PE文件头

aod83029的博客

10-09

207

typedef struct _IMAGE_FILE_HEADER { WORD Machine; 　 //014C-IMAGE_FILE_MACHINE_I386 WORD NumberOfSections; 　//PE节数量-0007个节 D...

《Windows PE》3.2.3 NT头-文件头

最新发布

bcdaren的博客

10-01

1130

原因是运行程序时，系统使用LoadString函数加载命令行参数字符串，如果第一个参数为自身的句柄，则会在当前路径或系统路径下寻找资源PE文件（没有代码的资源文件），名称为***.exe.mui。DOS块的后面接着就是NT头了。NT头包含了PE文件的各种信息，包括文件的签名、文件头和扩展头。在32位的PE文件中，Signature的值为0x00004550（或者ASCII字符"PE\0\0"），在64位的PE文件中，Signature的值同样为0x00004550（或者ASCII字符"PE\0\0"）。

详解详解windows的PE文件格式.zip_PE 文件格式_PE格式解析_windows PE

09-23

PE文件由多个部分组成，主要分为DOS头、PE头和节区表等关键部分。 - **DOS头**：PE文件起始于一个DOS程序头，这是为了保持与早期DOS系统的兼容性。它包含一个简单的DOS程序，可以跳转到PE头。 - **PE头（PE ...

PE总结4---PE文件结构NT头

oBuYiSeng的博客

12-09

1010

IMAGE_NT_HEADERS的结构如下： IMAGE_NT_HEADERS STRUCT { DWORD //PE标志 0x00 IMAGE_FILE_HEADER //文件头 0x04 IMAGE_OPTIONAL_HEADER32 //扩展头 0x18 } IMAGE_NT_HEADERS ENDS 其中包

WindowsNT头文件

03-05

包含众多Windows未公开的Native函数声明,以及未公开的结构.

2.PE文件之NT头(IMAGE_NT_HEADERS)

kernelhack

10-25

5224

IMAGE_NT_HEADERS 结构及成员含义如下: //默认大小为: //32BIT: 0xF8 (248)字节 //64BIT: 0x108(264)字节 #define IMAGE_NT_SIGNATURE 0x00004550 // PE00 typedef struct _IMAGE_NT_HEADERS { DWORD Signature;//PE标记 0x00004550 IMAGE_FILE_HEADER FileHe..

PE总结6---PE文件结构NT头之扩展头--IMAGE_OPTIONAL_HEADER

oBuYiSeng的博客

12-09

2208

IMAGE_OPTIONAL_HEADER结构，如下： typedef struct _IMAGE_OPTIONAL_HEADER { // // Standard fields. // WORD Magic; // 标志字, ROM 映像（0107h）,普通可执行文件（010Bh） BYTE MajorLinkerVersion; // 链接程序的主版

NT式驱动程序都需要包含的头文件

kulala082的专栏

01-09

347

包含ddk.h头文件，所有的NT式驱动程序都要包含此头文件。为了能够兼容C++程序，代码如下： #ifdef __cplusplus extern "C" { #endif #include #ifdef __cplusplus } #endif

PE头部IMAGE_NT_HEADERS

夜空中最亮的星

10-19

4624

PE头部是真正用来装载Win32程序的头部，PE头的定义为IMAGE_NT_HEAD

PE格式解析-NT头与地址换算

走在成长的路上

12-20

2059

关于PE文件的解析，相关概念的理解与计算

【PE结构】2.NT头、文件头、扩展头

SMOne

06-22

3038

一、前言二、PE整体结构三、DOS头四、NT头 4.1.文件头 4.2.扩展头五、区段头六、导出表七、导入表八、资源表九、其他表四、NT头图4.1起始地址：0x0158H，和上一篇DOS头里提到的e_lfanew完全相符。NT头结构：在图右侧可以看到，整个NT头包含一个4字节的Signature，以及两个结构体IMAGE_FILE_HEADER（文件头）和IMAGE_OPTIONAL_...

笔记:PE结构(2)NT头与文件头解析

Q324411601的博客

08-29

237

笔记:PE结构(2)NT头与文件头解析

PE详解之IMAGE_NT_HEADERS结构定义即各个属性的作用

06-06

117

IMAGE_NT_HEADERS STRUCT { +0h DWORD Signature // +4h IMAGE_FILE_HEADER FileHeader // +18h IMAGE_OPTIONAL_HEADER32 OptionalHeader // } IMAGE_NT_HEADERS ENDS

学破解 <二> PE格式之IMAGE_NT_HEADERS

王意林的专栏

03-09

2412

这个IMAGE_NT_HEADERS其实就是PE相关结构的映像头，NT据我揣测应该是New Technology的缩写，区分于DOS WIN9X的新技术，您老要是非觉得是NTR什么的也没关系。 IMAGE_NT_HEADERS的结构是这个样子的 IMAGE_NT_HEADERS STRUCT { +0h DWORD Signature +4h IMAGE_FILE_HEA